In der heutigen schnelllebigen digitalen Landschaft verwalten Unternehmen ein immer komplexeres Geflecht aus Umgebungen – von SaaS-Anwendungen und öffentlichen Cloud-Plattformen bis zu lokalen Rechenzentren und Hybridsystemen. Diese vielfältige Infrastruktur bietet Flexibilität und Skalierbarkeit, eröffnet aber auch neue Angriffsflächen.
Um sowohl die Kontinuität des Geschäftsbetriebs als auch die Sicherheitsanforderungen zu erfüllen, „muss sich die Sicherheit von reaktiv zu vorausschauend entwickeln“. Um ein hohes Sicherheitsniveau zu gewährleisten, müssen Sie Ihre Sicherheitsmaßnahmen überwachen und stärken, um Risiken zu erkennen, die Einhaltung von Vorschriften sicherzustellen und sich vor neuen Bedrohungen zu schützen. Mit unseren neuesten Funktionen können Sie jetzt Cloudflare nutzen, um einen einwandfreien Zustand für Ihre SaaS- und Webanwendungen zu erreichen. Dies beantwortet die ultimative Frage, die sich Sicherheitsteams (täglich) stellen: Wie gut sind unsere Assets und Dokumente geschützt?
Eine vorausschauende Sicherheitsstrategie beruht auf den folgenden Schlüsselkomponenten:
Erkennung und Bestandsaufnahme aller Ihrer Assets und Dokumente in Echtzeit
Kontinuierliche Asset-bezogene Bedrohungserkennung und Risikobewertung
Priorisierte Vorschläge für Abhilfemaßnahmen, um Ihren Schutz zu erhöhen
Heute erfahren Sie, wie wir diese Schlüsselkomponenten für SaaS- und Webanwendungen entwickelt haben und wie Sie sie zur Verwaltung des Sicherheitsniveaus Ihres Unternehmens nutzen können.
Ihr Sicherheitsniveau auf einen Blick
Unabhängig davon, welche Anwendungen Sie mit dem globalen Netzwerk von Cloudflare verbunden haben, scannt Cloudflare aktiv und in regelmäßigen Abständen nach Risiken und Fehlkonfigurationen, die mit jeder einzelnen Anwendung verbunden sind. Identifizierte Risiken und Fehlkonfigurationen werden im Dashboard unter „Security Center“ als Erkenntnisse angezeigt.
Die Erkenntnisse sind nach Schweregrad, Art der Risiken und der entsprechenden Cloudflare-Lösung gruppiert und bieten Ihnen verschiedene Blickwinkel, aus denen Sie herauszoomen können, worauf Sie sich konzentrieren möchten. Gegebenenfalls wird für ausgewählte Informationstypen eine Ein-Klick-Auflösung ermöglicht, z. B. die TLS-Mindestversion auf 1.2, die von PCI DSS empfohlen wird. Diese Simplizität wird von Kunden sehr geschätzt, die eine wachsende Anzahl von Assets verwalten, die im gesamten Unternehmen eingesetzt werden.
Um die Zeit bis zur Lösung des Problems noch weiter zu verkürzen, haben wir vor kurzem eine rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) zu „Security Insights“ im Cloudflare-Dashboard hinzugefügt. Die einzelnen Sicherheitsexperten haben nun Zugang zu einem komprimierten Überblick über die Erkenntnisse, die für ihre Rolle relevant sind. Ein Benutzer mit Administratorrechten (z. B. ein CSO) hat Zugriff auf und Einblick in alle Erkenntnisse.
Neben kontoweiten Sicherheitseinblicken bieten wir auch Übersichten zum Sicherheitsstatus, die näher an den entsprechenden Sicherheitskonfigurationen Ihrer SaaS- und Webanwendungen liegen. Gehen wir auf jede dieser Möglichkeiten näher ein.
Schutz Ihrer SaaS-Anwendungen
Ohne eine zentralisierte Verwaltung des Sicherheitsniveaus können sich SaaS-Anwendungen wie ein Wilder Westen anfühlen. Sie enthalten eine Fülle sensibler Informationen – Dateien, Datenbanken, Arbeitsbereiche, Entwürfe, Rechnungen oder alles, was Ihr Unternehmen für den Betrieb benötigen kann. Allerdings beschränken sich die Kontrollen auf die Einstellungen des Anbieters, sodass Sie weniger Einblicke und weniger Anpassungsmöglichkeiten haben. Darüber hinaus werden von Teammitgliedern ständig Inhalte erstellt, aktualisiert und gelöscht, die zu Konfigurationsabweichungen und der Offenlegung von Daten führen können, z. B. die öffentliche Freigabe von Dateien, das Hinzufügen von personenbezogenen Daten zu nicht konformen Datenbanken oder das Gewähren des Zugriffs auf Integrationen von Drittanbietern. Mit Cloudflare haben Sie in einem einzigen Dashboard einen Überblick über alle Ihre SaaS-Anwendungen.
Erkenntnisse zu Sicherheitslage in Ihren SaaS-Apps
In den Security Insights für das gesamte Konto können Sie Erkenntnisse zu potenziellen SaaS-Sicherheitsproblemen überprüfen:
Sie können sich entscheiden, sich mit Cloud Access Security Broker (CASB) eingehender zu informieren, um eine gründliche Überprüfung der Fehlkonfigurationen, Risiken und Verstöße gegen die Best Practices in Ihren SaaS-Anwendungen zu erhalten. Sie können eine Fülle von Sicherheitsinformationen abrufen, darunter:
Öffentlich verfügbare oder extern freigegebene Dateien
Anwendungen von Drittanbietern mit Lese- oder Bearbeitungszugriff
Unbekannter oder anonymer Benutzerzugriff
Datenbanken mit offengelegten Anmeldedaten
Benutzer ohne Zwei-Faktor-Authentifizierung
Inaktive Nutzerkonten
Sie können auch die Seite „Posture Findings“ erkunden, die eine einfache Suche und Navigation in Dokumenten ermöglicht, die in den SaaS-Anwendungen gespeichert sind.
Darüber hinaus können Sie Richtlinien erstellen, um Konfigurationsabweichungen in Ihrer Umgebung zu verhindern. Präventionsbasierte Richtlinien tragen dazu bei, eine sichere Konfiguration und die Einhaltung von Standards zu gewährleisten und gleichzeitig die Alarm-Müdigkeit bei den Security Operations-Teams zu verringern. Zudem können diese Richtlinien die unangemessene Bewegung oder Exfiltration sensibler Daten verhindern. Die Vereinheitlichung von Kontrollen und Übersicht über verschiedene Umgebungen hinweg erleichtert das Absicherung regulierter Datenklassen, die Pflege ausführlicher Audit-Aufzeichnungen mittels Protokollen und die Erhöhung des Sicherheitsniveaus zur Senkung des Risikos von Datenlecks.
So funktioniert es: Aufspüren neuer SaaS-Dokumente in Echtzeit
Um unseren Kunden Informationen zur SaaS-Sicherheitslage zur Verfügung zu stellen, müssen wir große Datenmengen von einer Vielzahl von Plattformen sammeln. Um sicherzustellen, dass alle Dokumente, die sich in Ihren SaaS-Anwendungen befinden (Dateien, Designs usw.), sicher sind, müssen wir Informationen über ihre Konfiguration sammeln. Sind sie öffentlich zugänglich? Haben Drittanbieter-Apps Zugriff? Ist die Multi-Faktor Authentifizierung (MFA) aktiviert?
Bisher haben wir das mit Crawlern gemacht, die Daten aus den SaaS-APIs geholt haben. Bei der Arbeit mit größeren Datensätzen machten uns die SaaS-Anbieter jedoch zu schaffen. Dies zwang uns dazu, in Schüben zu arbeiten und das Scannen nach oben und unten zu skalieren, soweit es die Anbieter zuließen. Dies führte zu veralteten Ergebnissen und machte die Behebung mühsam und unklar – Cloudflare würde beispielsweise melden, dass eine Datei für kurze Zeit noch öffentlich zugänglich war, nachdem die Berechtigungen entfernt wurden, was zu Verwirrung bei den Kunden führte.
Um dies zu beheben, haben wir unsere Pipeline zur Datenerfassung so aktualisiert, dass sie dynamisch und in Echtzeit funktioniert. Sie reagiert sofort auf Änderungen in Ihrer Umgebung, sobald sie auftreten, sei es ein neuer Sicherheitsbefund, ein aktualisiertes Asset oder eine kritische Warnung eines Anbieters. Wir begannen mit unserer Microsoft Asset Discovery und den Erkenntnissen zur Sicherheitslage, um Ihnen Echtzeit-Einblicke in Ihre Microsoft Admin Center-, OneDrive-, Outlook- und SharePoint-Konfigurationen zu geben. Wir werden die Unterstützung in Zukunft rasch auf weitere SaaS-Anbieter ausweiten.
Auf Aktualisierungsereignisse von Cloudflare Workers achten
Cloudflare Workers dienen als Einstiegspunkt für Webhooks von Anbietern und verarbeiten Benachrichtigungen über Asset-Änderungen von externen Diensten. Der Arbeitsablauf gestaltet sich wie folgt:
Webhook-Listener: Ein erster Worker fungiert als Webhook-Listener und empfängt Asset-Änderungsmeldungen von Anbietern.
Datenspeicherung und Warteschlangen: Bei Erhalt einer Nachricht lädt der Worker die rohen Nutzlasten der Änderungsbenachrichtigung zur Persistenz an Cloudflare R2 hoch und veröffentlicht sie in einer Cloudflare Queue, die für Änderungen an unverarbeiteten Assets vorgesehen ist.
Transformation Worker: Ein zweiter Worker, der als Verbraucher an die Warteschlange für die Änderung unverarbeiter Assets gebunden ist, verarbeitet die eingehenden Nachrichten. Dieser Worker wandelt die herstellerspezifischen Rohdaten in ein generisches Format um, das für CASB geeignet ist. Die transformierten Daten sind dann:
In Cloudflare R2 zur zukünftigen Verwendung gespeichert.
In einer anderen Cloudflare Queue, die für transformierte Nachrichten vorgesehen ist veröffentlicht
CASB-Verarbeitung: Verbraucher und Crawler
Sobald die transformierten Nachrichten den CASB-Layer erreicht haben, werden sie weiter verarbeitet:
Abfragender Verbraucher: CASB hat einen Verbraucher, der die transformierte Nachrichtenwarteschlange abfragt. Nach dem Empfang einer Nachricht ermittelt er den jeweiligen Handler, der für die Verarbeitung benötigt wird.
Crawler-Ausführung: Der Handler ordnet die Nachricht dann einem geeigneten Crawler zu, der mit der API des Anbieters interagiert, um die aktuellsten Asset-Details abzurufen.
Datenspeicherung: Die abgerufenen Asset-Daten werden in der CASB-Datenbank gespeichert und sind so für Sicherheits- und Compliance-Prüfungen zugänglich.
Dank dieser Verbesserung verarbeiten wir jetzt 10 bis 20 Microsoft-Updates pro Sekunde oder 864.000 bis 1,72 Millionen Updates pro Tag, wodurch Kunden einen unglaublich schnellen Einblick in ihre Umgebung erhalten. In den kommenden Monaten werden wir auf weitere SaaS-Anbieter ausweiten.
Schutz Ihrer Webanwendungen
Eine einzigartige Herausforderung bei der Sicherung von Webanwendungen besteht darin, dass es keine Einheitslösung gibt, die für alle passt. Ein Asset-bewusstes Sicherheitsmanagement schließt die Lücke zwischen einer universellen Sicherheitslösung und individuellen Geschäftsanforderungen und bietet maßgeschneiderte Empfehlungen für Sicherheitsteams, um zu schützen, was wichtig ist.
Überblick über den Status von Angriffen, Bedrohungen und Risiken
Ab heute haben alle Cloudflare-Kunden Zugang zu einer Sicherheitsübersicht („Security Overview“), einer neuen Landing Page, die auf jede Ihrer eingerichteten Bereiche zugeschnitten ist. Auf dieser Seite werden Sicherheitsvorschläge für alle Ihre Webanwendungen zusammengefasst und priorisiert:
Alle (laufenden) erkannten Angriffe, die sofortige Aufmerksamkeit erfordern
Disposition (abgewehrt, bedient von Cloudflare, bedient durch Ursprung) des gesamten Proxy-Traffics der letzten 7 Tage
Zusammenfassung der derzeit aktiven Sicherheitsmodule, die Bedrohungen erkennen
Schritt-für-Schritt-Anleitung: Vorschläge, wie Sie Ihr Sicherheitsniveau erhöhen können
Und einen Blick auf Ihre aktivsten und zuletzt aktualisierten Sicherheitsregeln
Diese maßgeschneiderten Sicherheitsvorschläge werden auf der Grundlage Ihres Traffic-Profils und Ihrer geschäftlichen Anforderungen unterbreitet, was durch die Ermittlung Ihrer Web-Assets mit Proxy-Server ermöglicht wird.
Aufspüren von Web-Assets
Viele Webanwendungen, unabhängig von ihrer Branche oder dem Anwendungsfall, erfordern ähnliche Funktionen: Identifizierung des Nutzers, Annahme von Zahlungsinformationen usw. Indem wir die Assets aufspüren, die diese Funktion nutzen, können wir eine gezielte Bedrohungserkennung entwickeln und ausführen, um sie bis in die Tiefe zu schützen.
So hat beispielsweise Bot-Traffic auf Marketingseiten und Anmeldeseiten unterschiedliche geschäftliche Auswirkungen. Content Scraping kann auf Ihre Marketingmaterialien abzielen, was Sie vielleicht zulassen wollen oder nicht. Auch Credential Stuffing auf Ihrer Anmeldeseite verdient sofortige Aufmerksamkeit.
Web-Assets werden durch eine Liste von Endpunkten beschrieben; und die Kennzeichnung jedes einzelnen Logos definiert seine geschäftlichen Ziele. Ein einfaches Beispiel sind POST-Anfragen an den Pfad /portal/login, was wahrscheinlich eine API zur Benutzerauthentifizierung beschreibt. Während die GET-Anfragen an den Pfad /portal/login die eigentliche Anmeldewebseite angeben.
Um die geschäftlichen Ziele von Endpunkten zu beschreiben, kommen Bezeichnungen (Labels) ins Spiel. POST-Anfragen an den /portal/login-Endpunkt und an den von den Mitarbeitenden verwendeten Endpunkt /api/admin/login können beide mit dem gleichen verwalteten Label cf-log-ingekennzeichnet werden, sodass Cloudflare weiß, dass Benutzernamen und Passwörter vorhanden sind an diese Endpunkte gesendet werden.
API Shield-Kunden können bereits von der Kennzeichnung des Endpunkts profitieren. Anfang Q2 2025 fügen wir Funktionen zur Erkennung von Labels und Vorschlägen hinzu, beginnend mit den drei Labels cf-log-in, cf-sign-up und cf-rss-feed. Alle anderen Kunden können diese Bezeichnungen manuell zu den gespeicherten Endpunkten hinzufügen. Ein Beispiel, das im Folgenden erläutert wird, ist die Verhinderung der Verwendung von temporären E-Mail-Adressen bei Anmeldungen.
Ständig aktive Bedrohungserkennung und Risikobewertung
Bedrohungssuche nach Anwendungsfällen
Von Kunden wurde uns gesagt, dass sie angesichts der wachsenden Begeisterung für generative KI Unterstützung benötigen, um diese neue Technologie zu schützen, ohne dabei die Innovation zu behindern. Die Möglichkeit, LLM-gestützte Dienste zu entdecken, ermöglicht die Feinabstimmung der Sicherheitskontrollen, die für diese spezielle Technologie relevant sind, wie z. B. die Überprüfung von Prompts, die Begrenzung der Prompt-Raten auf der Grundlage der Token-Nutzung usw. In einem separaten Blogbeitrag zur Security Week werden wir darüber sprechen, wie wir die Cloudflare Firewall for AI entwickeln und wie Sie Ihre Workloads mit generativer KI ganz einfach schützen können.
Die Erkennung von Kontobetrug, der mehrere Angriffsvektoren umfasst, ist ein weiterer Schlüsselbereich, auf den wir uns im Jahr 2025 konzentrieren.
Auf vielen Anmelde- und Registrierungsseiten wird üblicherweise eine CAPTCHA-Lösung verwendet, um nur Menschen durchzulassen, weil davon ausgegangen wird, dass nur Bots unerwünschte Aktionen ausführen. Abgesehen davon, dass die meisten visuellen CAPTCHA-Rätsel heutzutage leicht von KI gelöst werden können, kann ein solcher Ansatz die Ursache der meisten Kontobetrugsvektoren nicht effektiv bekämpfen. Zum Beispiel Menschen, die temporäre E-Mail-Adressen verwenden, um sich mit Einmalkonten anzumelden und von Anmeldeaktionen zu profitieren.
Um dieses Problem der betrügerischen Anmeldung zu lösen, könnte eine derzeit in der Entwicklung befindliche Sicherheitsregel wie unten beschrieben eingesetzt werden, um alle Versuche zu blockieren, die temporäre E-Mail-Adressen als Benutzerkennung verwenden, unabhängig davon, ob der Anfragesteller automatisiert war oder nicht. Alle bestehenden oder zukünftigen cf-log-in- und cf-sign-up-Endpunkte sind durch diese einzige Regel geschützt, da beide eine Identifizierung des Nutzers erfordern.
Unsere schnell wachsenden, anwendungsfallbasierten Bedrohungserkennungen werden alle standardmäßig ausgeführt, und zwar vom ersten Moment an, in dem Sie Ihren Datenverkehr an Cloudflare senden. Die sofort verfügbaren Erkennungsergebnisse können mit Sicherheitsanalysen überprüft werden und helfen Ihnen, schnell fundierte Entscheidungen zu treffen.
Risikobewertung von API-Endpunkten
APIs haben ihre eigenen Risiken und Schwachstellen und Cloudflare führt heute sieben neue Risiko-Scans über das API Posture Management (Verwaltung der API-Sicherheit) durch. Diese neue Funktion von API Shield trägt dazu bei, das Risiko zu verringern, indem sie Sicherheitsprobleme erkennt und frühzeitig behebt, bevor APIs angegriffen werden. Da APIs in der Regel aus vielen verschiedenen Backend-Diensten bestehen, müssen Sicherheitsteams feststellen, welcher Backend-Dienst anfällig ist, damit die Entwicklungsteams die identifizierten Probleme beheben können.
Genau das bieten unsere neuen Risiko-Scans für die Verwaltung der API-Sicherheit: Nutzer können schnell erkennen, welche API-Endpunkte einem Risiko durch eine Reihe von Schwachstellen ausgesetzt sind, z. B. die Offenlegung sensibler Daten, den Authentifizierungsstatus, Broken Object Level Authorization (BOLA)-Angriffe und mehr.
Der Authentifizierungsstatus ist ein Risiko-Scan, den Sie im neuen System sehen werden. Wir haben uns zunächst auf diese Schwachstelle konzentriert, weil sensible Daten gefährdet sind, wenn davon ausgegangen wird, dass die API-Authentifizierung durchgesetzt wird, diese aber tatsächlich nicht funktioniert. Authentication Posture hilft Kunden, Fehlkonfigurationen bei der Authentifizierung für APIs zu erkennen und warnt bei deren Vorhandensein. Dies wird erreicht, indem nach erfolgreichen Anfragen die API abgeglichen wird und deren Authentifizierungsstatus notiert wird. API Shield scannt den Traffic täglich und kennzeichnet API-Endpunkte mit fehlender oder gemischter Authentifizierung zur weiteren Überprüfung.
Für Kunden, die Sitzungs-IDs in API Shield konfiguriert haben, finden sich die neuen Risiko-Scan-Labels und Authentifizierungsdaten pro Endpunkt in API Shield. Sicherheitsteams können diese Details an ihre Entwicklungsteams weitergeben, um die fehlerhafte Authentifizierung zu beheben.
Wir starten heute mit Scans nach Authentifizierungsstatus, sensiblen Daten, unzureichend geschützten APIs, BOLA-Angriffen und Anomalie-Scans für API-Performance über Fehler, Latenzzeit und Antwortgröße.
Mit Cloudflare ganz einfach für ein hohes Sicherheitsniveau sorgen
Um in einem sich schnell entwickelnden Umfeld ein gutes Sicherheitsniveau zu erreichen, sind innovative Lösungen erforderlich, die Komplexität in Einfachheit verwandeln können. Die Möglichkeit, Bedrohungen und Risiken in öffentlichen und privaten IT-Umgebungen kontinuierlich über eine einzige Plattform zu bewerten, ist unser erster Schritt, um die Bemühungen unserer Kunden um eine gesunde Sicherheitslage zu unterstützen.
Um die Relevanz der sicherheitsrelevanten Erkenntnisse und Vorschläge weiter zu steigern und Ihnen zu helfen, Ihre Maßnahmen besser zu priorisieren, prüfen wir die Integration der globalen Übersicht von Cloudflare auf die Bedrohungslandschaft. Dadurch erhalten Sie zusätzliche Perspektiven, z. B. welche die größten Bedrohungen für Ihre Branche sind und worauf Angreifer derzeit abzielen. Updates folgen im weiteren Jahresverlauf, bleiben Sie also auf dem Laufenden.
Falls Sie dies noch nicht getan haben, können Sie Cloudflare noch heute für Ihre SaaS- und Webanwendungen aktivieren, um sofortige Erkenntnisse darüber zu erhalten, wie Sie die Sicherheitsmaßnahmen Ihres Unternehmens verbessern können.